Re: chroot via debootstrap (was: Re: log sur une debian chrootée)
On Wed, Oct 09, 2002 at 02:05:59PM +0200, Régis Grison wrote: Le lun 07/10/2002 à 20:04, Frédéric Bothamy a écrit : [...] Virer des paquets, c'est fait, mais même avec ce que j'ai enlevé, il reste des programmes comme mount et autres. Virer ce qui est suid root devrait déjà faire du ménage mais c'est sûrement pas tout et la liste des fichiers est monstrueuse. À mon avis, tu n'as pas d'autre choix que 1) accepter que ton système sera cassé (quoique fonctionnel), notamment si tu vires des fichiers d'administration de dpkg (après tout, ils ne sont pas nécessaires pour faire fonctionner un système) et 2) parcourir tous les fichiers pour chercher ceux qui sont réellement nécessaires à ce que tu veux faire. Dans ce cas, il est peut-être plus simple de faire l'inverse : partir d'un répertoire vide futur chroot et ajouter (ou hardlinker) les fichiers nécessaires à ton environnement en commençant par les exécutables et les librairies qui en dépendent à coups de ldd bien senti. Pour busybox, c'est des outils plus compactes, non ? Si c'est le cas, ça change pas trop mon problème qui est moins d'ordre occupation d'espace que sécurisation du chroot). Effectivement, j'étais plutôt parti sur l'idée du problème d'occupation d'espace disque. Mea culpa ... Fred
Re: chroot via debootstrap (was: Re: log sur une debian chrootée)
Le mer 09/10/2002 à 14:25, Frédéric Bothamy a écrit : On Wed, Oct 09, 2002 at 02:05:59PM +0200, Régis Grison wrote: Le lun 07/10/2002 à 20:04, Frédéric Bothamy a écrit : [...] Virer des paquets, c'est fait, mais même avec ce que j'ai enlevé, il reste des programmes comme mount et autres. Virer ce qui est suid root devrait déjà faire du ménage mais c'est sûrement pas tout et la liste des fichiers est monstrueuse. À mon avis, tu n'as pas d'autre choix que 1) accepter que ton système sera cassé (quoique fonctionnel), notamment si tu vires des fichiers d'administration de dpkg (après tout, ils ne sont pas nécessaires pour faire fonctionner un système) et 2) parcourir tous les fichiers pour chercher ceux qui sont réellement nécessaires à ce que tu veux faire. Dans ce cas, il est peut-être plus simple de faire l'inverse : partir d'un répertoire vide futur chroot et ajouter (ou hardlinker) les fichiers nécessaires à ton environnement en commençant par les exécutables et les librairies qui en dépendent à coups de ldd bien senti. [...] Ca j'ai déjà fait (partir de 0) mais j'aimerais garder la possibilité de faire du dpkg. En fait, je pense me faire des scripts qui copient ce qu'il faut dans le chroot, exécutent la commande dedans puis font le ménage. Si quelqu'un peut me dire comment créer un chroot avec des .deb fonctionnels dedans (ou une doc, même en anglais) là-dessus, je suis preneur. Si je m'en sors, j'essaierai de faire un joli paquet avec des deselect-chroot, apt-get-chroot, etc.. Régis.
Re: chroot via debootstrap (was: Re: log sur une debian chrootée)
On Wed, 9 Oct 2002 14:25:45 +0200 Frédéric Bothamy [EMAIL PROTECTED] wrote: À mon avis, tu n'as pas d'autre choix que 1) accepter que ton système sera cassé (quoique fonctionnel), notamment si tu vires des fichiers d'administration de dpkg (après tout, ils ne sont pas nécessaires pour faire fonctionner un système) et 2) parcourir tous les fichiers pour chercher ceux qui sont réellement nécessaires à ce que tu veux faire. Dans ce cas, il est peut-être plus simple de faire l'inverse : partir d'un répertoire vide futur chroot et ajouter (ou hardlinker) les fichiers nécessaires à ton environnement en commençant par les exécutables et les librairies qui en dépendent à coups de ldd bien senti. Je suis l'auteur de makejail qui est rentré en sid récemment et permet justement d'automatiser la recherche des fichiers dépendants en utilisant ldd et aussi strace, ou les fichiers de certains packages. A propos du hardlink tu as en général besoin de liens vers des fichiers dans la partition /, et il me semble que ca peut poser des problèmes de sécurité si d'autres utilisateurs que root ont des droits en écriture quelque part dans le jail : - ils peuvent remplir la partition root - faire des hardlinks dans l'autre sens vers des binaires suid/guid Alain